(收藏)Spring Security笔记:解决CsrfFilter与Rest服务Post方式的矛盾

最新推荐文章于 2024-08-04 08:07:07 发布
最新推荐文章于 2024-08-04 08:07:07 发布
阅读量508 收藏 2
点赞数
分类专栏: JAVA相关 文章标签: java 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackyrongvip/article/details/84831350
版权
基于Spring Security+Spring MVC的web应用,为了防止跨站提交攻击,通常会配置csrf,即:

1 <http ...>
2 ...
3 <csrf />
4 </http>
如果应用中有Post方式访问的Rest服务(参考下面的代码),会很不幸的发现,所有POST方式请求的服务会调用失败。

复制代码
1 @RequestMapping(value = "/user/create", method = RequestMethod.POST)
2 @ResponseBody
3 public UserInfo createUser(@RequestBody(required = true) UserInfo user,
4 HttpServletRequest request, HttpServletResponse response)
5 throws Exception {
6 ...
7 }
复制代码
原因在于:启用csrf后,所有http请求都被会CsrfFilter拦截,而CsrfFilter中有一个私有类DefaultRequiresCsrfMatcher

复制代码
1 private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {
2 private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
3
4 /* (non-Javadoc)
5 * @see org.springframework.security.web.util.matcher.RequestMatcher#matches(javax.servlet.http.HttpServletRequest)
6 */
7 public boolean matches(HttpServletRequest request) {
8 return !allowedMethods.matcher(request.getMethod()).matches();
9 }
10 }
复制代码
从这段源码可以发现,POST方法被排除在外了,也就是说只有GET|HEAD|TRACE|OPTIONS这4类方法会被放行,其它Method的http请求,都要验证_csrf的token是否正确,而通常post方式调用rest服务时,又没有_csrf的token,所以校验失败。

解决方法:自己弄一个Matcher

复制代码
1 package com.cnblogs.yjmyzz.utils;
2
3 import java.util.List;
4 import java.util.regex.Pattern;
5
6 import javax.servlet.http.HttpServletRequest;
7
8 import org.springframework.security.web.util.matcher.RequestMatcher;
9
10 public class CsrfSecurityRequestMatcher implements RequestMatcher {
11 private Pattern allowedMethods = Pattern
12 .compile("^(GET|HEAD|TRACE|OPTIONS)$");
13
14 public boolean matches(HttpServletRequest request) {
15
16 if (execludeUrls != null && execludeUrls.size() > 0) {
17 String servletPath = request.getServletPath();
18 for (String url : execludeUrls) {
19 if (servletPath.contains(url)) {
20 return false;
21 }
22 }
23 }
24 return !allowedMethods.matcher(request.getMethod()).matches();
25 }
26
27 /**
28 * 需要排除的url列表
29 */
30 private List<String> execludeUrls;
31
32 public List<String> getExecludeUrls() {
33 return execludeUrls;
34 }
35
36 public void setExecludeUrls(List<String> execludeUrls) {
37 this.execludeUrls = execludeUrls;
38 }
39 }
复制代码
这里添加了一个属性execludeUrls,允许人为排除哪些url。

然后在配置文件里,这样修改:

复制代码
1 <http entry-point-ref="loginEntryPoint" use-expressions="true">
2 ...
3 <intercept-url pattern="/rest/**" access="permitAll" />
4 ...
5 <csrf request-matcher-ref="csrfSecurityRequestMatcher"/>
6 </http>
7
8 <beans:bean id="csrfSecurityRequestMatcher" class="com.cnblogs.yjmyzz.utils.CsrfSecurityRequestMatcher">
9 <beans:property name="execludeUrls">
10 <beans:list>
11 <beans:value>/rest/</beans:value>
12 </beans:list>
13 </beans:property>
14 </beans:bean>
复制代码
这里约定所有/rest/开头的都是Rest服务地址,上面的配置就把/rest/排除在csrf验证的范围之外了.
jackyrongvip
关注
专栏目录
使用Postman Interceptor插件解决REST客户端的post请求的CSRF
cleverlzc的专栏
09-18 3681
1、Postman Interceptor使用方法: http://www.cnplugins.com/devtool/postman-interceptor/detail.html 2、springmvc-show-case的CSRF例子,get请求返回的部分: Used for including CSRF token in JSON requests Al
spring security——基本介绍(一)
m0_68850571的博客
04-10 2583
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 比如,对于username password认证过滤器来说, 会检查是否是一个登录请求; 是否包含username
Spring Security CSRF解决POST请求验证问题
09-23 1万+
.post或者其他的.post 或者其他的.post或者其他的.ajax请求不能访问后台,代码都是对的,但是请求都到不了后台,经过了多方排查,花了几个小时我终于知道了原因。记录一下。 在看浏览器的html代码时发现了有一个隐藏表单 原来是我使用了Spring Security Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRFRESTful技术有冲突。...
Spring Boot + Spring Security解决POST方式下的CSRF问题
Rome was not built in one day
03-20 6176
以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。问题现象:HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'...
cxf+spring 配置restfull风格的接口所遇到的问题
wyn1433954905的博客
08-25 415
cxf+spring实现rest风格webservice
CXF整合Spring发布Rest接口服务,以及客户端如何调用服务端接口
qq_37306041的博客
08-14 1544
1.创建web工程 2.导入jar包 3.编写接口以及实现类 3.1在编写接口之前需要注意一下这里用到的实体类 需要特别注意:需要在实体类前面添加注解 (XmlRootElement) package com.zit.entity; import java.io.Serializable; import javax.xml.bind.annotation.XmlRootElemen...
Spring Security的使用 #Web安全#权限认证《Spring实战》第4版笔记 (二)
TheJam的博客
03-13 379
9.3 拦截请求 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity) 方法。如下代码中的重载configure,为不同的URL路径有选择性的应用安全性 @Override protected void configure(HttpSecurity http) throws Exception{ http.authorizeRe...
vue+spring boot整合笔记和代码资料
06-21
3. **前后端通信**:Vue.js使用axios或fetch等库进行Ajax请求,与Spring Boot提供的REST API进行交互。发送GET、POST、PUT、DELETE请求,获取或修改后端数据。 4. **安全认证**:在整合过程中,安全性是必须考虑的...
Spring Boot笔记
qq_54516125的博客
05-29 414
springboot了解应用
wiki知识库之Spring Boot 用户管理系统:接口设计与实现指南
最新发布
百态老人的博客
08-04 1159
Wiki知识库(Wiki Knowledge Base)是一种知识管理系统,基于Wiki的技术和理念,用于创建、存储、组织和共享信息和知识。Wiki知识库广泛应用于企业内部知识管理、项目管理、文档管理、教育培训等领域,常见的Wiki平台包括MediaWiki(维基百科的底层软件)、Confluence、TikiWiki、DokuWiki等。这些平台提供了易于使用的界面和强大的功能,帮助用户高效地创建和维护知识库。
Filter:过滤器
weixin_30795127的博客
05-01 70
#Fileter:过滤器 概念: 生活中的过滤器:净水器,空气净化器 Web中的过滤器:当访问服务器的资源时,过滤器可以将请求拦截下来,完成一些特殊的功能 过滤器的作用 一般用于完成通用的操作。如:登录...
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
业精于勤荒于嬉
08-19 1176
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8357
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
spring securityCSRF中设置不针对某些请求过滤
jackyrongvip的专栏
01-15 1187
spring security 4中,CSRF默认开启: [code="java"] ... [/code] 但如果某些URL不想加入CSRF,可以使用下面的办法: 实现RequestMatcher.这个接口中的方法,在这里排除某些URL不做CSRF,比如: [code="java"] public class CsrfSecuri...
spring security 拦截了post put delete 请求 ,解决方案
july_young的博客
09-03 5311
使用spring security 做的安全框架时,会自动拦截post,put,delete等请求,这时因为spring security 开启了防止跨域访问攻击的配置,那么怎么解决呢?请往下看: 我使用了thymeleaf在网页的head中添加: &lt;meta name="_csrf" th:content="${_csrf.token}"/&gt; ...
Spring MVC中防止csrf攻击的拦截器示例
qq_40754259的博客
05-30 2935
package com.hikvision.cms.pms.base; import java.util.HashSet; import java.util.Set; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.apache.co...
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Springsecurity框架来处理scrf问题。
Spring Security笔记解决CsrfFilterRest服务Post方式矛盾
weixin_34403693的博客
01-06 334
基于Spring Security+Spring MVC的web应用,为了防止跨站提交攻击,通常会配置csrf,即: 1 &lt;http ...&gt; 2 ... 3 &lt;csrf /&gt; 4 &lt;/http&gt; 如果应用中有Post方式访问的Rest服务(参考下面的代码),会很不幸的发现,所有P...
Spring Boot Security教程:构建安全REST服务实战
通过系统学习这个视频教程,你将不仅提升对Spring Boot的理解,还将成为精通Spring Security在微服务环境中构建安全REST服务的专业开发者。此外,作者还提供了完整的压缩包链接和密码,方便你在学习过程中随时参考和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值